I te 30 o Hepetema i te 17:01 i te wa o Moscow, ko te tiwhikete pakiaka IdenTrust (DST Root CA X3), i whakamahia hei whakawhiti-haina te tiwhikete pakiaka o te mana tiwhikete Let's Encrypt (ISRG Root X1), e whakahaeretia ana e te hapori me whakarato tiwhikete kore utu ki te katoa, ka pau. Ko te hainatanga-whakawhiti i whakarite kia whakawhirinakihia nga tiwhikete Let's Encrypt puta noa i te tini o nga taputapu, nga punaha whakahaere, me nga kaitirotiro i te wa i whakauruhia te tiwhikete pakiaka a Let's ki roto i nga toa tiwhikete pakiaka.
I whakaritea i te tuatahi i muri i te whakakorenga o te DST Root CA X3, ka huri te kaupapa Let's Encrypt ki te whakaputa hainatanga ma te whakamahi i tana tiwhikete pakiaka anake, engari ko taua nekehanga ka ngaro te hototahi ki te maha o nga punaha tawhito kaore i pai. tāpirihia te Tiwhikete pakiaka Kia Whakamuna ki o ratou putunga. Ina koa, tata ki te 30% o nga taputapu Android e whakamahia ana karekau he raraunga i runga i te Tiwhikete pakiaka Let's Encrypt, he tautoko i puta mai i te timatanga o te papaaho Android 7.1.1, i tukuna i te mutunga o te tau 2016.
Karekau a Let's Encrypt i whakaaro ki te uru ki tetahi kirimana hainatanga hou, na te mea he kawenga taapiri mo nga taha ki te whakaaetanga, ka kore te mana motuhake me te here i o raatau ringa ki te whai i nga tikanga katoa me nga ture o tetahi atu mana tiwhikete. Engari na nga raru pea i runga i te maha o nga taputapu Android, i whakahouhia te mahere. I whakatauhia he kirimana hou me te mana tiwhikete IdenTrust, i roto i te anga i hangaia he tiwhikete takawaenga o Let's Encrypt. Ka whai mana te haina-whakawhiti mo nga tau e toru, ka mau tonu te tautoko mo nga taputapu Android timata mai i te putanga 2.3.6.
Heoi, karekau te tiwhikete takawaenga hou e kapi i te maha atu o nga punaha tuku iho. Hei tauira, ka mutu te tiwhikete DST Root CA X3 i te Mahuru 30, ka kore e whakaaehia nga tiwhikete Let's Encrypt i runga i nga punaha whakahaere kore tautoko me nga punaha whakahaere e hiahia ana ki te taapiri a-ringa i te tiwhikete ISRG Root X1 ki te toa tiwhikete pakiaka hei whakarite i te whakawhirinaki ki nga tiwhikete Let's Encrypt. . Ka puta nga raruraru i roto i:
- OpenSSL tae atu ki te peka 1.0.2 whakauru (kua mutu te tiaki o te peka 1.0.2 i Hakihea 2019);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu < 16.04;
- Debian <8.
I te keehi o OpenSSL 1.0.2, ko te raru ka puta mai i te pepeke e aukati ana i nga tiwhikete haina-whakawhiti kia kore e tika te tukatuka mena ka pau tetahi o nga tiwhikete pakiaka i whakamahia mo te hainatanga, ahakoa kei te noho tonu etahi atu mekameka whakawhirinaki. I puta tuatahi te raruraru i tera tau i muri mai i te korenga o te tiwhikete AddTrust i whakamahia ki te haina i nga tiwhikete mai i te mana tiwhikete a Sectigo (Comodo). Ko te mea nui o te raru ko te OpenSSL i tarai te tiwhikete hei mekameka raina, engari e ai ki te RFC 4158, ka taea e te tiwhikete te tohu i te kauwhata porohita kua tohatohahia me te maha o nga punga whakawhirinaki e tika ana kia whai whakaaro.
Ko nga kaiwhakamahi o nga tohatoha tawhito i runga i te OpenSSL 1.0.2 ka tukuna kia toru nga mahi hei whakaoti i te raru:
- I tangohia ā-ringatia te tiwhikete pakiaka IdenTrust DST Root CA X3 me te whakauru i te tiwhikete pakiaka ISRG Root X1 tu-kotahi (kaore i haina-whakawhiti).
- I te wa e whakahaere ana i te manatoko openssl me nga whakahau s_client, ka taea e koe te tohu i te "--trusted_first" kōwhiringa.
- Whakamahia i runga i te tūmau he tiwhikete kua whakamanahia e te tiwhikete pakiaka motuhake SRG Root X1, kaore he hainatanga whakawhiti. Ma tenei tikanga ka ngaro te hototahi ki nga kiritaki Android tawhito.
I tua atu, ka taea e tatou te kite kua eke te kaupapa Let's Encrypt i nga tohu tohu e rua piriona i hangaia. I tutuki te kotahi piriona i te Hui-tanguru i tera tau. 2.2-2.4 miriona nga tiwhikete hou ka hangaia ia ra. Ko te maha o nga tiwhikete kaha ko te 192 miriona (he tiwhikete e whai mana ana mo nga marama e toru) me te kapi mo te 260 miriona nga rohe (195 miriona nga rohe i hipokina i te tau ki muri, 150 miriona e rua tau ki muri, 60 miriona e toru tau ki muri). E ai ki nga tatauranga mai i te ratonga Telemetry Firefox, ko te wahanga o te ao o nga tono wharangi ma te HTTPS he 82% (he tau ki muri - 81%, e rua tau ki muri - 77%, e toru tau ki muri - 69%, e wha tau ki muri - 58%).
Source: opennet.ru